전자금융감독규정 제15조

From CS Wiki

내용

제15조(해킹 등 방지대책)
  • ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립ㆍ운용하여야 한다.
    • 1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영
    • 2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시
    • 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)<개정 2013. 12. 3.>
    • 4. 내부통신망에서의 파일 배포기능은 통합 및 최소화하여 운영하고, 이를 배포할 경우에는 무결성 검증을 수행할 것<신설 2013. 12. 3.>
    • 5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.) <신설 2013. 12. 3., 개정 2015. 2. 3.>
  • ② 제1항제1호의 규정에 따른 정보보호시스템을 설치ㆍ운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다.
    • 1. 삭제 <2015. 3. 18.>
    • 2. 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것
    • 3. 보안정책의 승인ㆍ적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록ㆍ보관할 것
    • 4. 정보보호시스템 원격관리를 금지할 것. 다만, 원격관리가 불가피한 경우 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다) 사용, 접근통제 등을 포함한 원격 접속 보안 대책을 수립ㆍ운영할 것<개정 2016. 10. 5.>
    • 5. 정보보호시스템의 작동 상태를 주기적으로 점검할 것<신설 2016. 10. 5>
    • 6. 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립ㆍ시행할 것 <종전의 제5호에서 이동>
  • ③ 제1항 각 호의 정보보호시스템에 대하여 책임자를 지정ㆍ운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다.
  • ④ 금융회사 또는 전자금융업자는 해킹 등 전자적 침해행위로 인한 피해 발생시 즉시 대처할 수 있도록 적절한 대책을 마련하여야 한다.<개정 2013. 12. 3.>
  • ⑤ 삭제 <2013. 12. 3.>
  • ⑥ 금융회사 또는 전자금융업자는 무선통신망을 설치ㆍ운용할 때에는 다음 각 호의 사항을 준수하여야 한다.<개정 2013. 12. 3.>
    • 1. 무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것
    • 2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것
    • 3. 금융회사 내부망에 연결된 정보처리 시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것<개정 2015. 2. 3.>
    • 4. 비인가 무선접속장비(Access Point : AP) 설치ㆍ접속여부, 중요 정보 노출여부를 주기적으로 점검할 것

해설